La CNIL de Francia ha impuesto una multa de 240.000 € a KASPR por múltiples infracciones del RGPD relacionadas con la recolección y retención ilegítima de datos personales.
KASPR, una empresa que ofrece una extensión de Chrome para extraer datos de contacto profesionales de LinkedIn y otras fuentes en línea, ha enfrentado medidas regulatorias debido a sus prácticas. A través de su base de datos de aproximadamente 160 millones de contactos, KASPR permitía a los usuarios acceder a información de contacto con fines como reclutamiento, marketing y verificación de identidad. Sin embargo, sus métodos generaron quejas y provocaron una investigación por parte de la CNIL, la autoridad de protección de datos de Francia. La investigación descubrió varias infracciones del RGPD.
La investigación de la CNIL reveló que la extensión de Chrome de KASPR facilitaba la recopilación ilegítima de datos de contacto restringidos.
La CNIL determinó que la extensión de Chrome de KASPR recopilaba datos de contacto de usuarios de LinkedIn que restringieron su configuración de visibilidad a conexiones de primer y segundo grado, y no solo de aquellos que consintieron compartir su información con cualquier usuario en LinkedIn. Aunque los usuarios de LinkedIn deberían poder controlar la visibilidad de sus datos de contacto, KASPR excedió las expectativas razonables al acceder y tratar datos restringidos sin la debida autorización, infringiendo el Artículo 6 del RGPD al no contar con ninguna base de tratamiento legítima, por ejemplo consentimiento.
La CNIL también descubrió que la empresa retenía los datos personales de los sujetos durante un período de tiempo desproporcionadamente largo.
Las prácticas de retención de KASPR fueron consideradas desproporcionadas. La empresa almacenaba datos de contacto hasta por cinco años, renovando este período cada vez que los individuos actualizaban su información, como cuando cambiaban de empleo. Esta renovación automática llevó a que los datos se conservaran por más tiempo del necesario, lo que infringía el Artículo 5 (1) (e) del RGPD, que exige que los datos personales solo se retengan durante un período proporcional a su propósito de tratamiento.
Otras infracciones del RGPD por parte de KASPR incluyeron fallos en la transparencia y vulneraciones del derecho de acceso a la información de los interesados.
Las fallas en la transparencia fueron otro problema importante identificado por la CNIL. Según su investigación, KASPR solo comenzó a notificar a los individuos sobre la recopilación de sus datos en 2022, cuatro años después de la entrada en vigor del RGPD. Las notificaciones fueron enviadas por correo electrónico y redactadas exclusivamente en inglés, lo que la CNIL consideró insuficiente para proporcionar información clara y accesible a todas las personas afectadas, como exige el Artículo 12 y el Artículo 14 del RGPD. Además, cuando los individuos preguntaban cómo se habían recopilado sus datos, KASPR ofrecía explicaciones insuficientes, afirmando únicamente que la información provenía de fuentes de acceso público. La CNIL determinó que KASPR debía haber revelado detalles específicos sobre las fuentes que contribuyeron a su base de datos, ya que estas estaban mencionadas en su política de privacidad. Esta falta de respuestas completas supuso una infracción del Artículo 15 del RGPD, que establece el derecho de los interesados a acceder a la información de un controlador o procesador de datos.
La CNIL impuso una multa de 240.000 € a KASPR, así como medidas correctivas obligatorias que la empresa debe cumplir.
En respuesta a estas infracciones, la CNIL impuso una multa de 240.000 € a KASPR y ordenó varias medidas correctivas que deben completarse antes del 18 de junio de 2025. Estas incluyen el cese de la recopilación de datos de individuos que restringen su visibilidad, la eliminación de datos recopilados ilegalmente, la limitación de los períodos de retención de datos, la provisión de notificaciones transparentes en un idioma comprensible para los usuarios y la mejora en las respuestas a las solicitudes de acceso a datos. La decisión de la CNIL no solo hace cumplir el RGPD, sino que también empodera a los individuos afectados para hacer valer sus derechos. Aquellos afectados por las prácticas de KASPR pueden oponerse al tratamiento de sus datos, solicitar su eliminación o buscar más información. Para las empresas, este caso es una advertencia sobre la necesidad de alinear las prácticas de datos con estándares legales y éticos para evitar sanciones significativas.
Si necesitas asistencia profesional para abordar las leyes de datos de China y asegurar cumplimiento, el equipo de expertos de Aphaia ofrece soluciones personalizadas para ayudarte a mejorar tus prácticas a través de nuestro servicio de Regulación y Política de las Telecomunicaciones y de DPO externo. Contacta con Aphaia hoy para descubrir más.
